安全运营中心解决方案.docx

上海观安信息技术股份有限公司安全运营中心建设方案恐观安上海观安信息技术股份有限公司地址：上海市普陀区大渡河路388弄5号华宏商务中心6层t*t(*>tta(*(«*(1«*(*f7京宏加3541.1.I.I.1.2.项目定义-项目范国-55I.1.3.I.!.1.61.1.4.1.保障业务安全运行.61.1.4.2.1.1.4.3.滴否管要求.7I.1.5.建设原则91.1.6.与客户自有大数据平台对接的套势强知平台技术架沟.101.1.7.功能架的121.1.7.1.数据采集层-121.17.2131.1.7.3.敷堀分析层1311.7.4.桧激晌双层14I.1.8.Jft11811,1,82.161.1.8.3.策客竹及横向扩展能力1.1.8.4.oT1.1.17；2洋细方宏181.2.1.皴好采集和数据处理(ET1.),一-181.21.1.效兴源.哭集范围181.2.1.2.数奥格式支持1812.131912.14日志解析和统一格式般范191.2.1.5.数用处理ET1.一.,.201.2.16.221,2.17.1.2,1.81.i志备份.231.2.2.全文榜索241.2.2.1.统计分析12.22.261.2.3.威助情报271.2.4.出1.2.4.1.凶12421.2.4.3.梭型分析311.2.4.4.动态基线分析221.2.4.S.机5学习.321,2461.2.4.7.脆弱性分析341.2.4.8.v34?aQ生警方式351.2.5.安日景分析361.2,51.探洪野段361.2.5.2.攻击实施阶段371253权限荻取3940125.5.其他安全场景411,2.6.安全告瞽管理411.2.61,安全事件处置42441.2.63,安全事件祥源AA12.6.4.智能安全防护.AA45471.2,81,综合安全态势471.2.82.里要业务系统态势.481.2.83.网络威胁态势49491.2.85,用户行为态势501.28.6.安全态势报告51511.2.9.仪衣盘521.2.91.自定义仪关盘521.2.92.自定义组件库1.2.II.询产管理541.2.12情斌管理551.2.13.报表管理S6IaIA加仝有十由；+1.2.15.健康监控1.2.16.性能指标5858591I-.z<1*21%4A*'4"132看德闩右火敕抠平台建式目622.1.实Ife范BI622.3详维实海方富622.4.项目实施时向计划-712.5.项目管理方案-.72q2.7.验收计划972.8.培训方案-MI1033.1. 技术支椅与售后务政策3.1.1, 技术后援支持3.1.2, 技术后援支持方式.103.103.104.1063.2.保修及系统雉护胺务.3.2.1.服务范囹-“-1063.2.2.响应时间.1063.2.3.膻务方式063.2.4.一.项目整体解决方案1.1. 方案概要1.1.1. 项目定义本项目基于公司现有的大数据平台.利用专业的日志收集和分析技术，对接安全设备日志以及重要的操作系统、应用系统日志，运用规则分析、机器学习以及威胁情报等分析手段，感知内外部的安全威胁，并对信息安全事件的处理和追溯提供支撑，保障公司信息安全管理符合监管规范要求，建设更具适应性的智能安全防护体系支撑和保障信息系统和业务安全稳定运行。1.1.2. 项目范围本次信息安全态势感知平台的日志采集范围包括：关键网络设备日志、安全设备日志、数据库审计系统日志、中间件日志'应用系统日志、操作系统日志、流量日志等。1.1.3. 建设目标本项目通过成熟的大数据安全分析产品，以此为基础，建设基于大数据技术的信息安全态势感知平台。通过分期开展信息安全态势感知平台建设，对公司内部的网络、主机等安全设备及各类操作系统、应用系统的日志进行统一收集和存储，并结合规则分析、统计分析、机器学习以及威胁情报等分析手段及时发现信息安全威胁和事件，并为信息安全事件的处理和追溯提供有力的原始数据支撑，并逐步构建安全威胁的检测、响应、调查、处置的安全运营自动化，促进提升信息安全管理能力。通过本项目建设,利用成熟和专业化的技术手段.借鉴产品在同行业乃至其它行业公司的方法和经验，转化为适合公司实际的信息安全防范机制.提升网络安全防御能力，建立全天候全方位的网络安全态势感知能力。1.1.4. 需求概述随着业务的拓展和数字化转型进程的加快，以及监管要求的提高、安全形势的变化，公司迫切需要能够应对新型安全威胁的能力，既能够对各类信息威胁进行事前预防、事中阻断、事后追溯，又不影响业务的连续性运营。本项目主要有如下需求：1.1.4.1. 保障业务安全运行目前公司已建设较为完善的安全防护体系，但是和安全有关的各类关键信息散落在各类主机、应用系统、网络设备、安全设备上未能较好的分析利用，各个安全系统独自发挥作用，公司对统一的安全要素信息收集和分析的需求强烈，迫切需要充分利用日志分析发现潜在的安全隐患。网络攻击变得越来越有组织性，并且形成了黑色产业链，不断增加公司网络安全风险安全威胁千变万化.特别是近年来APT攻击、勒索病毒、褥羊毛、第三方APP非法接入等新型安全威胁层出不穷，让企业、非盈利组织乃至政府机构等攻击目标防不胜防。攻击方总是想尽办法突破原有的攻击思路,创新攻击技术和手段，从而达到攻陷对手的目的。而防守方面对变化莫测、创新不断的攻击手段，很难找到统一的、行之有效的方案，来主动应对威胁。大数据分析技术能够给网络与信息安全带来全新的技术提升，突破传统技术的瓶颈，可以更好地解决已有的安全问题，也可以帮助我们应对新的安全问题1.1.4.3.满足监管要求第一,采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月：第二，发生网络安全事件,应当立即启动网络安全事件应急预案，对网络安全事件进行调查和评估。第三，加强网络安全态势感知、监测预警和应急处置能力建设。建立统一高效的网络安全风险报告机制、情报共享机制、研判处置机制，准确把握网络安全风险发生的规律、动向、趋势最后，应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为，并确保规则库或情报库进行及时更新，应采取技术措施对对网络行为进行分析，实现对网络攻击特别是新型网络攻击行为进行分析。在设计、建设和系统实现过程中，遵循全面安全数据采集、高质量数据长期存储、数据开放、充分利用信息价值、不断扩充场景”的原则.按照“安全数据集中存储、基于实践开发安全场景"的方式进行建设，定位于为企业业务支撑提供安全威胁分析与预警能力，为企业提供“集中存储、不断扩充.的安全分析能力。应遵循如下指导原则：安全数据全面采集，进行内部、外部、情报相关安全数据的全面采集，使安全数据可以反映出所有时段、各个安全层面、主要IT环境的情况；高质量长期存储，针对大数据技术特点，所采集数据原则上保留原始数据同时，按数据内容进行标准化、标签化,按批处理分析、实时分析、全文检索、数据库查询的需要进行存储，各个处理环节均需要保证完整性与准确性；数据开放原则，以大数据安全分析平台提供数据开放，各安全应用可向大数据安全平台订阅数据用于自身的分析需要；扩大信息价值，全面采集与集中存储的数据之间，可以通过信息的关联、因果提升价值，例如海量的攻击日志可以和资产与漏洞信息结合，转化为更易于分析的安全告警关联能力数据，相对于独自存在相互隔离的数据大幅提升价值;场景扩充原则，其于全量高质量的安全数据，逐步扩充安全攻击检测、异常流量检测、安全威胁情报等场景，最终实现对安全威胁情况的准确把握与预警。1.1.6.与客户自有大数据平台对接的态势感知平台技术架构态势感知平台应基于XXXX现有大数据平台建设，由平台提供数据存储和计算能力，态势感知平台应作为XXXX大数据平台上层的一个租户应用。基于此项要求.以及观安信息在行业的案例实践，我们为XXXX态势感知平台设计的系统架构如下图所示：根据上图显示的技术架构，图中紫色箭头所指的区域为XXXX大数据平台，其中包括了用来存储离线数据的HDFS组件、用来存在日常检索数据的ES组件，以及其他的大数据平台基础组件和部分结构化数据库等组件。该区域的职能为从图中存储第一部分的采集和解析后的数据，并提供数据和计算资源给第三部分及第四部分的分析与计算模块,展示与检索模块使用。其中，如果XXXX现有大数据平台对比上述技术架构缺少部分组件，如ES、F1.ink等，将由XXXX提供大数据平台集群的硬件资源，由观安信息负责部署相关组件，以在充分利用大数据平台提供的计算资源基础上，扩展相关功能支撑态势平台分析能力的需要。根据上述架构，完整的数据流如下：1）各种数据源由观安信息开发的采集器进行数据采集,通过ET1.模块清洗补全成标准数据，保存至XXXX自有大数据平台上的HDFSsEIasticSearch.Kafka各个组件内;2）使用日asticSearch按日期索引存储ET1.清洗后的日志数据，定期清理；3）离线规则分析引擎使用F1.ink从XXXX大数据平台上的HDFS中加载格式化数据，进行离线分析统计后的结果输出至Kafka.由事件消费程序最终处理成事件数据保存；4）实时分析引擎从Kafka消费格式化数据，进行关联分析后将结果保存；5）使用SParkCore、SparkM1.实现离线场景分析和模型计算；6）使用RediS缓存字典、情报、基线等信息；7）后端服务使用SpringBootxSpringData